先週辺りから巷を騒がせ始めているHeartbleed。
使用中のサーバもHeartbleedの脆弱性のあるバージョンであった為、アップデートを行いました。
使用環境:CentOS6.4 64bit
参考:http://d.hatena.ne.jp/nekoruri/20140408/heartbleed
ちなみに脆弱性があるかは以下のサイトでチェック。
SSL Toolbox
「Your server is vulnerable to Heartbleed attack.」と出ていれば、脆弱性のあるバージョンとのこと。

ついでに、ターミナル上でのバージョンをチェック。
|
# rpm -q openssl openssl-1.0.1e-16.el6_5.1.x86_64 |
参考サイト内によると、CentOS(6.5ですが)では、openssl-1.0.1e-16.el6_5.7 で修正とのことなので、これはアウト。
パッケージ管理はyumを使用していたので、yumのリポジトリに修正済バージョンがあるかチェック。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47
|
# yum info openssl Installed Packages Name : openssl Arch : x86_64 Version : 1.0.1e Release : 16.el6_5.1 Size : 4.0 M Repo : installed From repo : updates Summary : A general purpose cryptography library with TLS implementation URL : http://www.openssl.org/ License : OpenSSL Description : The OpenSSL toolkit provides support for secure communications : between machines. OpenSSL includes a certificate management tool : and shared libraries which provide various cryptographic : algorithms and protocols. Available Packages Name : openssl Arch : i686 Version : 1.0.1e Release : 16.el6_5.7 Size : 1.5 M Repo : updates Summary : A general purpose cryptography library with TLS implementation URL : http://www.openssl.org/ License : OpenSSL Description : The OpenSSL toolkit provides support for secure communications : between machines. OpenSSL includes a certificate management tool : and shared libraries which provide various cryptographic : algorithms and protocols. Name : openssl Arch : x86_64 Version : 1.0.1e Release : 16.el6_5.7 Size : 1.5 M Repo : updates Summary : A general purpose cryptography library with TLS implementation URL : http://www.openssl.org/ License : OpenSSL Description : The OpenSSL toolkit provides support for secure communications : between machines. OpenSSL includes a certificate management tool : and shared libraries which provide various cryptographic : algorithms and protocols. |
あったのでOK、ということでアップデートを実施。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29
|
# yum update openssl ================================================================================ Package Arch Version Repository Size ================================================================================ Updating: openssl x86_64 1.0.1e-16.el6_5.7 updates 1.5 M Updating for dependencies: openssl-devel x86_64 1.0.1e-16.el6_5.7 updates 1.2 M Transaction Summary ================================================================================ Upgrade 2 Package(s) Total download size: 2.7 M Is this ok [y/N]: ~ Updated: openssl.x86_64 0:1.0.1e-16.el6_5.7 Dependency Updated: openssl-devel.x86_64 0:1.0.1e-16.el6_5.7 Complete! |
念のためバージョンを確認
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
|
# yum info openssl Installed Packages Name : openssl Arch : x86_64 Version : 1.0.1e Release : 16.el6_5.7 Size : 4.0 M Repo : installed From repo : updates Summary : A general purpose cryptography library with TLS implementation URL : http://www.openssl.org/ License : OpenSSL Description : The OpenSSL toolkit provides support for secure communications : between machines. OpenSSL includes a certificate management tool : and shared libraries which provide various cryptographic : algorithms and protocols. |
その後、使用中サービスを再起動。
今回はapacheのみだったのでapacheを再起動。
(OS自体を再起動したほうがいいという話もあり)
そして、再度先述のサイトでチェック。

「Your server is not vulnerable to Heartbleed attack.」に表記が変わればOK。
「not」がつくかつかないか、なのですが、強調もないので正直分かりづらい……。
そして、可能であれば、秘密鍵の再生成。
これでひとまず大丈夫、なのだろうか。